Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Podrobnější informace o zabezpečení najdete na této stránce. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.
Pokud je to možné, bezpečnostní dokumenty Apple se na bezpečnostní slabiny odkazují prostřednictvím identifikátorů CVE-ID.
Safari 10.0.3
Vydáno 23. ledna 2017
Safari
K dispozici pro: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.3
Dopad: Návštěva škodlivého webu může vést ke zfalšování řádku s adresou.
Popis: V řádku s adresou existoval problém se správou stavu, který byl vyřešen vylepšením zpracování URL adres.
CVE-2017-2359: xisigr z týmu Xuanwu Lab společnosti Tencent (tencent.com)
WebKit
K dispozici pro: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.3
Dopad: Zpracování škodlivého webového obsahu může vést k získání dat napříč původy.
Popis: Problém s přístupem k prototypu byl vyřešen vylepšením zpracování výjimek.
CVE-2017-2350: Gareth Heyes ze společnosti Portswigger Web Security
WebKit
K dispozici pro: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.3
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2017-2354: Neymar z týmu Xuanwu Lab společnosti Tencent ve spolupráci se Zero Day Initiative společnosti Trend Micro
CVE-2017-2362: Ivan Fratric z týmu Google Project Zero
CVE-2017-2373: Ivan Fratric z týmu Google Project Zero
WebKit
K dispozici pro: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.3
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s inicializací paměti byl vyřešen vylepšením správy paměti.
CVE-2017-2355: Team Pangu a lokihardt na akci PwnFest 2016
WebKit
K dispozici pro: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.3
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.
CVE-2017-2356: Team Pangu a lokihardt na akci PwnFest 2016
CVE-2017-2369: Ivan Fratric z týmu Google Project Zero
CVE-2017-2366: Kai Kang z týmu Xuanwu Lab společnosti Tencent (tencent.com)
WebKit
K dispozici pro: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.3
Dopad: Zpracování škodlivého webového obsahu může vést k získání dat napříč původy.
Popis: Ve zpracování načítání stránek existovalo několik problémů s ověřováním. Tento problém byl vyřešen vylepšením logiky.
CVE-2017-2363: lokihardt z týmu Google Project Zero
CVE-2017-2364: lokihardt z týmu Google Project Zero
WebKit
K dispozici pro: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.3
Dopad: Zpracování škodlivého webového obsahu může vést k získání dat napříč původy.
Popis: Ve zpracování proměnných existoval problém s ověřováním. Problém byl vyřešen vylepšením ověřování.
CVE-2017-2365: lokihardt z týmu Google Project Zero
Další poděkování
Zabezpečení WebKitu
Poděkování za pomoc si zaslouží Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos a Cristiano Giuffrida ze skupiny VUSec na univerzitě Vrije Universiteit Amsterdam.